Lo cierto es que ya estamos acostumbrados -y casi inmunizados- a los clásicos listados de errores típicos en materia de seguridad: No parchear sistemas, no realizar una buena monitorización etc etc ...
Es difícil aportar algo nuevo a esta clase de 'rankings', no obstante he encontrado este artículo de Network World en el que se aborda la problemática desde un punto de vista de enfoque que me ha gustado bastante. Me tomo la licencia de transcribir el artículo con mi propia interpretación
Error 1: Pensar que la mentalidad empresarial de la organización es la misma que hace cinco años
Hace cinco años el tipo de dispositivos que accedían a una red corporativa se limitaban a los equipos plataformados de la compañía, sean equipos de sobremesa o portátiles.
Actualmente eso no es así, cada vez más se imponen los 'smartphones' como elementos empresariales, y ahora asistimos a la moda de los tablets. En definitiva, un montón de nuevos equipos que ni de lejos han sido diseñados para ejercer sobre ellos el tipo de control que se puede tener sobre el típico equipo Windows dentro de un dominio.
Sumemos a este escenario la cantidad de aplicaciones 'Cloud' de uso ampliamente difundido, y tenemos un escenario bastante complejo de gestionar que requiere una estrategia mucho mas moderna.
Error 2: No saber establecer las relaciones correctas entre el equipo de seguridad y el resto de áreas IT
El ya clásico tira-y-afloja entre la división de seguridad y el resto de departamentos. Para cualquiera que haya trabajado en una empresa IT le sonarán altamente familiares las discusiones entre lo que quiere el grupo de desarrollo, los plazos del grupo de marketing, el coste que impone el grupo financiero y las objeciones del equipo de seguridad.
Tener muy clara y definida la 'cadena de decisión' es clave.
Error 3: No comprender que la virtualización requiere nuevas estrategias de seguridad
Es obvio que según se van integrando las tecnologías de virtualización el enfoque debe cambiar. Se ha puesto muy de moda el introducir servicios ya paquetizados en formato vmware -por ejemplo- que supuestamente son 'plug&play', pero en lo que pocas veces se piensa es en como se parchean estos equipos y como se gestiona su seguridad
Error 4: No estar preparados para una fuga de datos
Probablemente siempre se tiene claro que documentos son considerados sensibles dentro de una organización pero ¿y si aparecen fuera de la organización? Tener mecanismos para identificar accesos a documentos y disponer de una trazabilidad al respecto es clave
Error 5: Complacencia con los proveedores
Muy típico en España, una vez la organización establece su red clientelar de 'partners' pocas veces existe un espíritu crítico para revisar lo que nos están vendiendo. Hay que tener claro que la solución ofertada por un proveedor X no tiene porque ser la mas correcta aunque en anteriores ocasiones nos haya suministrado aplicaciones interesantes.
Hay que mantenerse alerta y al tanto de lo que hay en el mercado de una forma global, no solo a través de los ojos de nuestros partners.
4 comments :
No usar linux sino windows, es el riesgo de seguridad más alto.
usar windows no es un riesgo alto si se cumplen con medidas de seguridad, linux y cualquier plataforma es vulnerable a fallos de seguridad hasta la misma pagina de red hat a sido hackeada. es importante cumplir con politicas de seguridad adecuadas para evitar ataques dentro y fuera de la organizaion
Oscarandres90210 tipico comentario....
en desacuerdo, un linux mal configurado como lo hay a patadas, es incluso mas peligroso que un windows. Estoy deacuerdo con Oscar, un windows en dominio, y este bien configurado, es perfecto, tanto a nivel de usuario como de seguridad. El topico que linus es "mas seguro" por defecto, creo que es tan falso como que MAC no tiene virus...
Publicar un comentario